¿Por qué no reenviar el correo electrónico de confirmación de correo electrónico en el punto de inicio de sesión fallido? (vs forzar un botón presionar)

Navega tus respuestas
1

Suponiendo una aplicación / sitio web donde se requiere confirmación por correo electrónico antes de iniciar sesión:

Si un usuario recién registrado intenta iniciar sesión, un flujo común es informarles que aún no han confirmado su dirección de correo electrónico y luego preguntar si desean reenviar la confirmación del correo electrónico, que es un proceso de dos pasos.

¿Hay problemas de seguridad por el simple hecho de enviar otro correo electrónico de confirmación (con el enlace) tan pronto como intentan y no pueden iniciar sesión?

La gente podría terminar siendo spam, pero dudo mucho más de lo que harían en el otro flujo si alguien intentara ser malicioso.

    
pregunta user179876 09.02.2018 - 14:54
fuente

1 respuesta

1

Francamente, sí, hay algunos problemas de seguridad. El enlace de correo electrónico otorga al destinatario acceso a la cuenta. Si el usuario ingresó un correo electrónico incorrecto, al enviar nuevamente el enlace de activación automáticamente, le ofrece al destinatario no autorizado otra oportunidad de hacerse cargo de la cuenta.

Si el usuario pierde el control sobre su cuenta de correo electrónico, se aplica el mismo problema.

En general, desea dar a los usuarios un control positivo de si se realizan acciones de otorgamiento de acceso.

Además, dado que muchos "schroeders" usan mi dirección de correo electrónico por error para registrarme, me alegro por el reenvío no automático de los correos electrónicos de activación. Obtengo suficientes enlaces de activación de correo electrónico activados manualmente para cosas para las que nunca me registré ...

    
respondido por el schroeder 09.02.2018 - 18:20
fuente

Lea otras preguntas en las etiquetas

¿Aplicaciones Flash deliberadamente vulnerables? Descifrando claves RSA, solo se dan N y e